Relatório de auditoria operacional: governança em Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso - 2017

Governança de Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso – 2017 TCE-MT | Relatório de Auditoria Operacional 25 É importante destacar que o gerenciamento de con- tinuidade é de extrema importância para uma organização como a Sefaz-MT, pois reduz o risco de que haja interrup- ção dos serviços prestados à população acima do período acordado com os responsáveis pela manutenção dos servi- ços de TI. Serviços importantes, como emissão de certidão negativa débitos e emissão de documentos de arrecadação podem ficar inacessíveis, gerando queda de arrecadação para o Estado e prejuízos à população. Outra falha evidenciada neste tópico foi relativa ao gerenciamento de mudanças. No questionário eletrôni- co, as respostas dadas foram de que a Sefaz-MT “iniciou plano para adotar” a formalização da norma pertinente e a execução do processo de gerenciamento de mudanças. Contudo, após análise dos documentos enviados e pelas mesmas razões apontadas no tópico sobre a continuidade dos serviços de TI, concluiu-se que não é adotada a execu- ção do processo e que nem mesmo foi iniciado o processo de formalização da norma. O Gerenciamento de Mudanças visa assegurar o tra- tamento sistemático e padronizado de todas as mudanças ocorridas no ambiente operacional, minimizando assim os impactos decorrentes de incidentes/problemas relaciona- dos. Como consequência, promove melhorias na rotina operacional da organização 28 . Esse processo é necessário a todo tipo de organização que utiliza sistemas informatizados, seja por questões de aperfeiçoamento ou por necessidade de mudança do sof- tware utilizado em que algum momento será necessário realizar algum tipo de transição. Dados fiscais como os de responsabilidade da Sefaz-MT precisam de um tratamento baseado nas me- lhores práticas, a fim de evitar perdas de informações que possam gerar prejuízos ao erário. No intuito de demons- trar a importância do gerenciamento de mudanças, des- taca-se a falha na migração dos dados do sistema Conta Corrente (versão 2.6) para a versão 3.0, conforme identi- ficado no Relatório de Levantamento da Receita Pública Estadual (2013 a 2016) de junho de 2016. 28 Definição retirada do livro Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços, 4º ed. 2014. Alguns débitos não foram encontra- dos na nova versão e a Sefaz também infor- mou, à época, que não realizava controle des- ses valores, visto que não havia, até então, informação da área de tecnologia da informa- ção acerca da falta de dados na nova plataforma. Os processos de governança de TI relativos ao gerenciamen- to de mudanças poderiam ter mitigado os riscos de ter ocorrido tal perda de informação. Por fim, há falha quanto ao processo de gerenciamen- to de incidentes. No questionário eletrônico, a Sefaz-MT informou que “adota integralmente” a execução do pro- cesso gestão de incidentes. Com relação à formalização do processo como norma de cumprimento obrigatório, relatou que “adota parcialmente” a prática. O Gerenciamento de Incidentes visa restaurar a ope- ração normal de um serviço no menor tempo possível, de forma a minimizar os impactos adversos para o negócio, garantindo que os níveis de qualidade e disponibilidade sejam mantidos dentro dos padrões acordados 29 . Nesse ponto, o foco é no efeito e não na causa. Em análise aos documentos solicitados por e-mail 30 para comprovar as respostas ao questionário, observa-se que há documentos que comprovam que há processo de gerenciamento de incidentes na Sefaz-MT, com política, mapa e modelo. No entanto, são políticas adstritas ao se- tor da Coordenação de Tecnologia da Informação (Coti). Não há nenhuma regulamentação publicada (portaria, resolução ou outro instrumento), de modo que não estão chanceladas pela alta administração. Assim, evidenciou-se que, embora seja executado o processo de gerenciamento de incidentes, este não está formalmente instituído como norma de cumprimento obrigatório. 29 Definição retirada do livro Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços, 4º ed. 2014. 30 E-mail 23/05/2017.